Comprensión de la cláusula 27701 de la norma ISO 8.2: Condiciones para el procesamiento lícito de datos
El cumplimiento de la cláusula 27701 de la norma ISO 8.2 garantiza que las organizaciones actúen legalmente al recopilar y procesar la PII, y que estén alineadas con las leyes vigentes o las estipulaciones reglamentarias dondequiera que procesen la PII.
ISO 27701 Cláusula 8.2.1 – Acuerdo con el cliente
Objeto de la Cláusula 8.2.1
Los contratos relacionados con el procesamiento de PII deben redactarse de manera que aborden la necesidad de la organización de brindar asistencia al cliente y sus obligaciones.
Orientación sobre la Cláusula 8.2.1
Los contratos deben incluir:
- El concepto de 'privacidad por diseño' (ver ISO 27701 Cláusulas 7.4 y 8.4).
- Cómo pretende la organización lograr la seguridad del procesamiento.
- Cómo se deben informar las infracciones, incluidos el cliente, los directores y las autoridades reguladoras.
- Cómo se deben abordar las evaluaciones de impacto en la privacidad.
- Confirmación de la intención de la organización de prestar asistencia a las autoridades de protección de IPI.
Cláusulas relevantes de ISO 27701
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 Cláusula 8.2.2 – Propósitos de la organización
Objeto de la Cláusula 8.2.2
Desde el principio, la PII sólo debe procesarse de acuerdo con las instrucciones del cliente.
Orientación sobre la Cláusula 8.2.2
Los contratos deben incluir SLA relacionados con objetivos mutuos y cualquier escala de tiempo asociada en la que deban completarse.
Las organizaciones deben reconocer su derecho a elegir los distintos métodos que se utilizan para procesar la PII, que logren legalmente lo que el cliente busca, pero sin la necesidad de obtener permisos granulares sobre cómo la organización lo hace a nivel técnico.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 8.2.3 – Uso de marketing y publicidad
Objeto de la Cláusula 8.2.3
Las organizaciones deben obtener permiso según el principio de PII antes de utilizar cualquier dato proporcionado con fines de marketing o publicidad, y asegurarse de que la aceptación de dicho uso no sea un requisito previo para que se procese la PII.
Orientación sobre la Cláusula 8.2.3
Las estipulaciones de marketing y publicidad deben documentarse claramente en cualquier contrato o acuerdo de servicio, de acuerdo con el propósito anterior.
Las organizaciones deben buscar un "consentimiento expreso" que se base en una representación transparente y actualizada de cómo se utilizará la PII.
ISO 27701 Cláusula 8.2.4 – Instrucción infractora
Objeto de la Cláusula 8.2.4
Las organizaciones deben expresar su opinión sobre cualquier instrucción de procesamiento del cliente que contravenga leyes o regulaciones.
Orientación sobre la Cláusula 8.2.4
Las organizaciones deben mantener un conocimiento práctico exhaustivo de cómo las instrucciones tienen el potencial de entrar en conflicto con la legislación aplicable o las obligaciones reglamentarias.
Las infracciones suelen producirse en torno a tres factores.
- Cómo se utiliza la tecnología.
- La premisa de la instrucción.
- Cualquier obligación contractual.
ISO 27701 Cláusula 8.2.5 – Obligaciones del cliente
Objeto de la Cláusula 8.2.5
Las organizaciones deben poder proporcionar a sus clientes suficiente información para que puedan cumplir con sus obligaciones en cualquier momento dado.
Orientación sobre la Cláusula 8.2.5
La información requerida puede incorporar una amplia gama de funciones, pero normalmente está relacionada con las auditorías internas y el papel de la organización a la hora de facilitarlas mediante el suministro de información.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 8.2.6 – Registros relacionados con el procesamiento de PII
Objeto de la Cláusula 8.2.6
Las organizaciones deben mantener registros precisos y actualizados que les permitan, en cualquier momento, evidenciar el cumplimiento de cualquier obligación contractual relacionada con el procesamiento de la PII.
Orientación sobre la Cláusula 8.2.6
Dependiendo de la jurisdicción, es posible que los registros deban incluir:
- Listas categóricas de procesamiento, cliente por cliente.
- Cualquier transferencia de datos a otros países u organismos internacionales.
- Controles técnicos de seguridad.
Artículos de apoyo del RGPD
Varios elementos de la cláusula 27701 de ISO 8.2 son aplicables en el Reino Unido. GDPR legislación. Eche un vistazo a la siguiente tabla para ver las referencias correspondientes.
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Artículos relacionados con el RGPD |
|---|---|---|
| 8.2.1 | Acuerdo de cliente | Artículos (28), (35) |
| 8.2.2 | Propósitos de la organización | Artículos (5), (28), (29), (32) |
| 8.2.3 | Uso de marketing y publicidad | Artículo (7) |
| 8.2.4 | Instrucción infractora | Artículo (28) |
| 8.2.5 | Obligaciones del cliente | Artículo (28) |
| 8.2.6 | Registros relacionados con el procesamiento de PII | Artículo (30) |
Cómo ayuda ISMS.online
La plataforma ISMS.online ofrece asistencia integrada en cada etapa y nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar' a ISO 27701, para hacer el proceso mucho más fácil. También se beneficiará de una variedad de funciones que le permitirán ahorrar tiempo.
Hacemos que el mapeo de datos sea una tarea sencilla. Es fácil registrarlo y revisarlo todo, agregando los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.
Deberá demostrar qué tan bien gestiona las solicitudes de derechos de los interesados (DRR). Nuestro espacio seguro de RRD lo mantiene todo en un solo lugar, respaldándolo con informes e información automatizados.
Es fácil configurar y ejecutar diferentes tipos de evaluaciones de privacidad, desde evaluaciones de impacto de la protección de datos hasta evaluaciones de preparación regulatoria o de cumplimiento.
Descubre más por reservar una demostración.
